Archives de catégorie : IA

Cybersécurité, IA

Immersive World : la création de malwares voleurs de mots de passe​ via l’IA

L’essor des acteurs de la menace sans connaissances préalables : la technique « Immersive World » facilite la création de malwares voleurs de mots de passe​.

Cato Networks a récemment publié son rapport 2025 Cato CTRL Threat Report, révélant une nouvelle technique de contournement des modèles de langage avancés, nommée « Immersive World ». Cette méthode permet à des individus sans expérience préalable en programmation de malwares d’exploiter des outils d’IA générative, tels que ChatGPT, Copilot et DeepSeek, pour développer des logiciels malveillants capables de dérober des identifiants de connexion depuis Google Chrome.

Cette découverte met en lumière une évolution inquiétante du paysage des cybermenaces, où la barrière à l’entrée pour la création de malwares est considérablement réduite grâce à l’utilisation détournée de l’intelligence artificielle.​

L’émergence des acteurs de la menace sans connaissances préalables

Traditionnellement, la création de logiciels malveillants nécessitait des compétences techniques approfondies en programmation et en cybersécurité. Cependant, avec l’avènement des modèles de langage avancés (LLM) tels que ChatGPT d’OpenAI, Copilot de Microsoft et DeepSeek, cette barrière s’estompe. La technique « Immersive World » exploitée par les chercheurs de Cato Networks démontre qu’il est possible de manipuler ces outils pour générer du code malveillant sans expertise préalable.​

La technique « Immersive World » en détail

La méthode « Immersive World » repose sur la création d’un univers fictif détaillé dans lequel les outils d’IA jouent des rôles spécifiques avec des tâches et des défis assignés. En utilisant cette ingénierie narrative, les chercheurs ont pu contourner les contrôles de sécurité intégrés des LLM et normaliser des opérations normalement restreintes. Par exemple, en assignant à l’IA le rôle d’un développeur dans un scénario fictif nécessitant la création d’un outil d’extraction de mots de passe pour Google Chrome, l’IA a généré le code correspondant, contournant ainsi ses propres restrictions de sécurité.​

Conséquences pour la cybersécurité

Cette technique abaisse significativement la barrière à l’entrée pour la création de malwares, permettant à des individus sans connaissances techniques approfondies de développer des logiciels malveillants sophistiqués. Cela pourrait entraîner une augmentation des attaques de type infostealer, où des identifiants de connexion sont volés pour accéder à des systèmes sensibles. Les entreprises doivent être conscientes de cette évolution et renforcer leurs stratégies de sécurité pour se protéger contre ces nouvelles menaces.​

« Immersive World » souligne la nécessité pour les organisations de revoir et d’adapter leurs stratégies de sécurité face à l’évolution rapide des menaces. L’utilisation détournée des outils d’IA générative pour la création de malwares par des acteurs sans connaissances préalables constitue une menace sérieuse.

Les progrès de l’intelligence artificielle (IA) ouvrent de nouvelles perspectives pour l’automatisation, mais également pour la cybercriminalité. Symantec a démontré que des agents IA modernes, comme Operator d’OpenAI, sont capables de mener des attaques complexes presque sans intervention humaine.

Un alerte lancée il y a plus d’un an !

Il y a un an, des experts mettaient déjà en garde contre l’utilisation de modèles de langage (LLM) par des cybercriminels pour rédiger des e-mails de phishing et du code malveillant. À l’époque, l’IA servait principalement d’outil d’assistance. Aujourd’hui, grâce à des agents avancés, la situation a changé. Ces outils peuvent non seulement générer du texte, mais aussi interagir avec des sites web, envoyer des e-mails et exécuter des scripts.

Symantec a testé la capacité d’un agent IA à mener une attaque avec un minimum de supervision humaine. L’agent devait identifier un employé, retrouver son adresse e-mail, rédiger un script PowerShell malveillant pour collecter des données système et l’envoyer via un e-mail crédible.

D’abord, Operator a refusé la tâche en invoquant des règles de sécurité. Cependant, une légère modification du contexte — affirmant que la cible avait autorisé l’envoi du mail — a suffi à contourner la restriction. L’agent a rapidement trouvé l’identité de la cible en analysant des sources ouvertes (site de l’entreprise, médias), puis a deviné l’adresse e-mail en s’appuyant sur des schémas de messagerie d’entreprise.

Après avoir consulté plusieurs ressources sur PowerShell, Operator a généré un script fonctionnel, capable de collecter des données et de les transmettre à l’attaquant. Enfin, l’agent a rédigé un e-mail convaincant signé par un faux employé, « Eric Hogan », et l’a envoyé sans déclencher d’alerte.

Symantec prévient que ces attaques automatisées pourraient bientôt devenir plus sophistiquées. Les criminels pourraient simplement commander une attaque à un agent IA, qui élaborerait une stratégie, produirait le code malveillant et s’infiltrerait dans le réseau cible. Cela abaisserait considérablement la barrière d’entrée pour les cybercriminels.

Cybersécurité, IA

Créer un inventaire des actifs d’IA : une nécessité stratégique pour la sécurité et la conformité

L’inventaire des actifs d’IA est bien plus qu’une simple liste d’outils. Il s’agit d’une démarche stratégique pour assurer la sécurité des données, la conformité réglementaire et la maîtrise des risques liés à l’IA.

Face à la montée en puissance de l’intelligence artificielle (IA), les entreprises doivent non seulement s’adapter à un écosystème technologique en constante évolution, mais aussi répondre aux défis sécuritaires et réglementaires qu’impose cette nouvelle réalité. Les outils d’IA non autorisés, souvent intégrés discrètement dans les processus internes, posent une menace directe à la sécurité des données et à la conformité des entreprises. Pour éviter un dérapage incontrôlé, la première étape essentielle est la création d’un inventaire complet des actifs d’IA. Cette démarche permet non seulement d’identifier les risques, mais aussi d’anticiper les besoins en matière de gouvernance et de sécurité.

L’inventaire des actifs d’IA, socle de la gouvernance de la sécurité

La création d’un inventaire des actifs d’IA ne relève plus d’une démarche volontaire, mais s’impose comme une obligation réglementaire. L’UE a franchi un cap avec l’entrée en vigueur de la loi sur l’IA en août 2024, imposant aux entreprises une cartographie détaillée des outils d’IA utilisés et une évaluation des risques associés. La norme ISO 42001 fournit un cadre de gestion, mettant l’accent sur la transparence et la traçabilité. Aux États-Unis, le cadre AI Risk Management Framework (AI RMF) du NIST exige que les entreprises identifient les risques liés à l’utilisation de l’IA et mettent en place une gestion adaptée.

L’inventaire devient la clé de voûte de la gouvernance. Sans une visibilité claire sur les outils d’IA en activité, les entreprises naviguent à l’aveugle. La diversité des systèmes d’IA utilisés, des modèles de langage (LLM) aux outils de traitement d’images, complexifie la tâche. Les entreprises doivent donc prioriser leurs efforts, en se concentrant sur les systèmes à haut risque, comme l’IA générative et les solutions d’analyse prédictive. La transparence devient un enjeu stratégique : savoir où et comment les outils d’IA sont utilisés permet de mieux gérer les risques et de renforcer la sécurité globale des données.

Créer un inventaire des actifs d’IA est devenu une exigence réglementaire dans de nombreuses juridictions. L’EU AI Act, la norme ISO 42001 et le cadre AI Risk Management Framework (AI RMF) du National Institute of Standards and Technology (NIST) aux États-Unis imposent désormais une obligation explicite de cartographier les technologies d’IA utilisées et d’évaluer leurs risques.

La législation européenne sur l’IA (EU AI Act), entrée en vigueur en août 2024, impose aux entreprises une obligation de recensement complet des technologies d’IA utilisées, avec une évaluation des risques associée. Ce cadre couvre presque tous les systèmes d’IA, y compris les modèles génératifs, les outils d’automatisation et les systèmes décisionnels.

De son côté, la norme ISO 42001 fournit un cadre de gestion des systèmes d’IA, insistant sur la transparence, la responsabilité et la traçabilité. Le cadre du NIST, bien que volontaire, exige dans sa fonction « MAP » que les entreprises identifient les risques liés à l’utilisation de l’IA.

Ces nouvelles règles montrent que l’inventaire des actifs d’IA n’est plus une simple formalité — il est devenu le socle de la gouvernance de la sécurité de l’IA.

L’IA fantôme, menace silencieuse et incontrôlée

La prolifération de l’IA non autorisée au sein des entreprises constitue une menace directe pour la sécurité des données. Le phénomène du « Shadow AI » illustre cette dérive : de nombreux employés utilisent des outils d’IA gratuits ou accessibles via des comptes personnels, échappant ainsi à la surveillance du service informatique. Selon un rapport de ZScaler publié en 2024, plus de 60 % des employés admettent utiliser des outils d’IA non validés par leur entreprise. Cette utilisation clandestine expose les données sensibles à des tiers, créant des failles de sécurité difficilement contrôlables.

DeepSeek, dont la popularité a explosé début 2024, est devenu le symbole de ce risque. Son mode de fonctionnement, basé sur le stockage de données dans le cloud, a suscité une controverse majeure. Les employés, en utilisant cet outil sans autorisation, ont exposé des informations confidentielles à des systèmes externes. L’IA fantôme agit comme un cheval de Troie : elle introduit des vulnérabilités sans que l’entreprise n’en ait conscience, augmentant le risque de fuite de données ou d’attaques ciblées.

Les responsables de la sécurité doivent agir en amont. Il ne s’agit pas seulement de surveiller les outils utilisés, mais d’anticiper leur impact. Les outils d’IA générative évoluent rapidement : un modèle jugé sûr aujourd’hui peut devenir une menace dès lors qu’il adopte une nouvelle fonction ou un nouveau mode de traitement des données. La clé réside dans une surveillance active et une réactivité immédiate face aux nouvelles configurations des outils d’IA.

Le défi de la cartographie et du suivi des actifs d’IA

Cartographier les actifs d’IA reste un défi complexe. Les méthodes traditionnelles de suivi se révèlent insuffisantes face à la vitesse d’adoption de l’IA. Le suivi basé sur les achats permet de contrôler l’introduction de nouveaux outils, mais ne détecte pas les mises à jour ou les fonctionnalités cachées. L’analyse des journaux réseau offre une visibilité partielle, mais sa mise en œuvre est chronophage et peu adaptée à un environnement de travail hybride. Les solutions de gestion des identités, comme OAuth, permettent de suivre certaines applications, mais restent inefficaces face aux outils d’IA accessibles en dehors des plateformes contrôlées.

Les courtiers d’accès sécurisé au cloud (CASB) apportent une visibilité sur les outils cloud, mais peinent à s’adapter à la diversité des systèmes utilisés. La gestion de la posture de sécurité du cloud (CSPM) permet de surveiller l’usage de l’IA dans les environnements cloud publics comme AWS ou Google Cloud, mais ne couvre pas les environnements internes. Les listes de contrôle existantes, quant à elles, sont souvent obsolètes face à la rapidité d’évolution des technologies d’IA. La multiplicité des outils et la diversité des plateformes compliquent la mise en place d’un suivi cohérent.

L’essor des solutions automatisées

Face à ces limites, l’industrie se tourne vers des solutions automatisées de gestion des actifs d’IA. L’intelligence artificielle elle-même devient un levier pour surveiller les activités liées à l’IA. Darktrace AI Guardian, dont le lancement est prévu début 2025, promet une surveillance en temps réel du trafic réseau, une détection automatique des outils d’IA non autorisés et une mise à jour dynamique de l’inventaire. Microsoft a déjà intégré un tableau de bord de suivi de l’IA dans ses services cloud en 2024, permettant aux entreprises d’identifier rapidement les outils utilisés par leurs employés.

Ces solutions automatisées offrent un avantage clé : elles s’adaptent à la rapidité d’évolution de l’IA. Une mise à jour du modèle ou une modification dans les conditions d’utilisation est immédiatement signalée. Cette réactivité permet de renforcer la sécurité des systèmes tout en assurant une gestion proactive de la conformité. Les outils automatisés permettent également une meilleure formation des employés : en identifiant les outils validés et sécurisés, les entreprises favorisent une adoption contrôlée de l’IA, limitant ainsi le recours à des solutions non autorisées.

Transformer une obligation réglementaire en avantage stratégique

La gestion des actifs d’IA ne doit pas être perçue comme une contrainte administrative, mais comme une opportunité stratégique. Les entreprises qui maîtrisent leur écosystème d’IA sont mieux placées pour guider l’innovation tout en sécurisant leurs opérations. L’inventaire des actifs d’IA permet d’identifier les besoins réels des employés, d’anticiper les failles de sécurité et de proposer des solutions conformes adaptées à chaque cas d’usage.

Google a montré la voie en 2024. Après avoir détecté une forte demande d’outils génératifs parmi ses employés, l’entreprise a rapidement déployé des solutions internes sécurisées. Ce mouvement stratégique a non seulement renforcé la sécurité des données, mais aussi amélioré la productivité. L’adoption contrôlée d’outils d’IA permet de créer une culture d’innovation tout en réduisant les risques liés à la Shadow AI.

Les entreprises doivent agir rapidement. La mise en place d’un inventaire d’actifs d’IA est le premier pas vers une gouvernance renforcée. Les solutions automatisées, la surveillance en temps réel et la formation des employés constituent les piliers d’une stratégie de gestion des risques adaptée à l’ère de l’IA. Les acteurs qui s’adaptent dès maintenant prendront une longueur d’avance dans cette nouvelle révolution technologique.

Six façons d’utiliser l’IA pour le suivi des actifs

  1. Suivi basé sur les achats : Cette méthode est efficace pour surveiller l’achat de nouveaux outils d’IA, mais elle reste insuffisante pour détecter l’ajout de capacités d’IA aux outils existants ou l’utilisation d’outils BYOT (Bring Your Own Tool) par les employés.

  2. Collecte manuelle des journaux : L’analyse du trafic réseau et des journaux permet de repérer des activités liées à l’IA, mais cette méthode est chronophage et offre une couverture limitée.

  3. Identité et authentification OAuth : L’examen des journaux d’accès à partir de plateformes comme Okta ou Entra permet de suivre certaines applications d’IA, mais uniquement si elles sont intégrées à ces services.

  4. Courtier d’accès sécurisé au cloud (CASB) et prévention des pertes de données (DLP) : Des solutions comme ZScaler et Netskope offrent une visibilité sur les outils d’IA utilisés dans le cloud, mais elles ont une capacité limitée à classifier précisément ces outils.

  5. Gestion de la posture de sécurité du cloud (CSPM) : Des outils comme Wiz permettent de surveiller l’usage de l’IA dans AWS et Google Cloud, mais ils ne couvrent pas les environnements sur site ou non cloud.

  6. Élargir les listes de contrôle existantes : La catégorisation des outils d’IA en fonction des risques permet d’améliorer la gouvernance, mais cette méthode peine à suivre le rythme rapide de l’évolution de l’IA.

Cybersécurité, IA

DeepSeek : 12 000 Clés API Exposées — L’IA, nouvelle faille de sécurité ?

Une récente analyse a révélé qu’environ 12 000 clés API, mots de passe et jetons d’authentification ont été accidentellement exposés lors de l’entraînement du modèle d’IA de DeepSeek sur des données accessibles en ligne. Cette fuite met en évidence les risques liés à l’utilisation de données publiques pour l’entraînement des modèles d’intelligence artificielle (IA).

Une fuite de grande ampleur

L’incident concerne un jeu de données issu de Common Crawl, une bibliothèque publique qui archive des copies de pages web du monde entier. En décembre 2024, une analyse de ce jeu de données, représentant 400 téraoctets et comprenant 47,5 millions de sites et 2,67 milliards de pages, a permis d’identifier une quantité alarmante d’informations sensibles.

Les chercheurs ont découvert près de 12 000 clés API et informations d’authentification valides. Ces clés donnaient accès à des services critiques comme Amazon Web Services (AWS), Slack et Mailchimp. Une partie des informations trouvées était directement intégrée dans le code source des pages HTML, exposée sans aucune protection.

Un cas frappant concerne une clé API de WalkScore, retrouvée 57 029 fois sur 1 871 sous-domaines différents. Cette diffusion massive d’une seule clé démontre le manque de contrôle dans la gestion des informations sensibles par certaines entreprises.

Une mauvaise gestion des clés API

L’analyse a montré que 63 % des clés d’accès étaient réutilisées dans plusieurs environnements, augmentant considérablement le risque d’attaques en cascade. Si une clé compromise est utilisée sur plusieurs services, un attaquant pourrait exploiter cette faille pour pénétrer plusieurs systèmes simultanément.

Le cas de Mailchimp est particulièrement préoccupant : plus de 1 500 clés API ont été retrouvées dans le jeu de données, directement accessibles dans le code côté client. Une clé Mailchimp exposée pourrait permettre à un pirate d’envoyer des emails de phishing depuis le compte légitime d’une entreprise, augmentant ainsi le taux de réussite des attaques.

Certaines pages web contenaient même des informations de connexion root (administrateur), offrant potentiellement à un attaquant un contrôle total sur le système cible. Une telle situation pourrait entraîner des conséquences dévastatrices, comme la perte de contrôle d’une infrastructure critique.

Le problème structurel de l’entraînement des modèles d’IA

Ce type de fuite met en lumière une faille structurelle dans le développement des modèles d’IA. Les modèles comme DeepSeek sont entraînés sur de vastes ensembles de données issues d’internet, incluant des bases de code, des forums de développeurs et des bases de données publiques. Ces ensembles de données contiennent souvent, par négligence, des informations sensibles comme des clés API ou des mots de passe.

Lorsque ces modèles sont entraînés sur des données contenant des failles de sécurité, ils peuvent reproduire ces vulnérabilités dans le code généré. Certains modèles de langage, comme GitHub Copilot, sont capables de suggérer des clés API ou des mots de passe dans le code généré, simplement parce qu’ils ont été entraînés sur des données comportant ce type d’information.

Cette capacité des modèles d’IA à « imiter » les failles de sécurité pose un défi majeur. Si un modèle reproduit ces vulnérabilités dans un code déployé en production, le risque de voir des attaques ciblées se multiplier devient réel.

Un risque de propagation des failles

L’absorption de données vulnérables par des modèles d’IA soulève le risque d’une propagation des failles à grande échelle. Si un modèle d’IA intègre des clés API ou des mots de passe dans le code qu’il génère, les conséquences pourraient être catastrophiques. Un attaquant pourrait alors exploiter ce code vulnérable pour infiltrer plusieurs systèmes, ouvrant la voie à des attaques en cascade.

Un modèle d’IA entraîné sur des données contenant des failles pourrait également influencer les développeurs à adopter des pratiques risquées, simplement en générant du code qui reproduit ces vulnérabilités.

Cybersécurité, Hacking, IA

Le cyber espionnage chinois bondit de 150 %

Un rapport met en évidence une augmentation spectaculaire des cyberattaques, notamment une hausse de 150 % des activités cyber chinoises et une explosion des manipulations assistées par l’intelligence artificielle. Le paysage de la cybersécurité se complexifie dangereusement.

La menace cybernétique mondiale ne cesse de croître, portée par des acteurs étatiques et cybercriminels de plus en plus sophistiqués. Le Global Threat Report 2025 de CrowdStrike dévoile des chiffres inquiétants : une augmentation de 442 % des attaques de vishing, une montée en flèche des cyberattaques chinoises et des intrusions sans malware qui défient les solutions de sécurité traditionnelles. Face à ces nouvelles menaces, les entreprises et les gouvernements doivent revoir leurs stratégies et adopter une approche plus proactive pour anticiper les cyberattaques de demain.

L’espionnage cyber chinois atteint des sommets

Les attaques cyber chinoises ont connu une augmentation de 150 %, avec une explosion de 300 % pour les secteurs critiques comme la finance, l’industrie et les médias. En 2024, sept nouveaux groupes de pirates chinois ont été identifiés, illustrant une montée en puissance agressive des opérations d’espionnage commanditées par Pékin. Ces attaques visent avant tout l’acquisition de données sensibles et l’infiltration de réseaux stratégiques.

Cette recrudescence s’inscrit dans une tendance globale où les États-nations exploitent des cyber opérations pour asseoir leur influence géopolitique. Ces actions sont souvent menées sous le couvert de sociétés écran ou via des groupes affiliés, compliquant leur détection et leur attribution. L’espionnage économique et industriel reste une priorité pour ces cyber opérateurs qui ciblent en priorité les innovations technologiques et les secrets commerciaux.

En 2024, sept nouveaux groupes d’attaquants liés à la Chine, contribuant à une hausse de 150 % des cyberattaques d’espionnage.

L’intelligence artificielle au service des cybercriminels

L’ingénierie sociale assistée par l’IA est désormais une arme incontournable pour les cybercriminels. Le rapport met en lumière une augmentation de 442 % des attaques de vishing, où des voix synthétiques convaincantes sont utilisées pour tromper les victimes et dérober des informations sensibles. Des groupes tels que CURLY SPIDER, CHATTY SPIDER et PLUMP SPIDER ont perfectionné ces techniques pour contourner les systèmes de détection et infiltrer des réseaux sécurisés.

L’Iran, de son côté, a exploité l’IA pour identifier des vulnérabilités et développer des exploits ciblant les infrastructures critiques. Cette utilisation offensive de l’intelligence artificielle permet aux attaquants de déployer des campagnes de piratage plus efficaces et difficiles à repérer. Par ailleurs, l’essor des intrusions sans malware complique la tâche des équipes de cybersécurité : désormais, 79 % des attaques initiales ne reposent plus sur des logiciels malveillants mais sur l’exploitation d’identifiants volés.

Exergue : Le vishing a explosé de 442 % en 2024, porté par l’ingénierie sociale assistée par l’intelligence artificielle.

Une cybersécurité sous pression

Les entreprises et institutions doivent faire face à une réduction drastique des délais d’intrusion. En 2024, le temps moyen pour compromettre un système est passé à 48 minutes, avec un record de 51 secondes. Cette rapidité rend la détection et la réponse d’autant plus complexes, nécessitant une approche unifiée et en temps réel.

Les attaques internes sont également en hausse, notamment sous l’impulsion du groupe FAMOUS CHOLLIMA, lié à la Corée du Nord. En 2024, ce groupe a été impliqué dans 304 incidents de cybersécurité, dont 40 % provenaient de cybercriminels infiltrés sous de fausses identités pour accéder aux systèmes. Par ailleurs, les intrusions dans le cloud ont augmenté de 26 % en un an, les cybercriminels exploitant des comptes légitimes pour masquer leur présence et éviter la détection.

Cybersécurité, IA, Justice

Trump dynamite la protection des données : vers un open bar numérique ?

La récente décision de l’administration Trump de démanteler le Privacy and Civil Liberties Oversight Board (PCLOB) marque un tournant critique dans les relations transatlantiques en matière de protection des données.

Depuis des années, l’Europe tente de résister aux assauts américains sur la protection des données. Mais si vous pensiez que la bataille était déjà un champ de ruines, Trump vient d’arriver avec un bulldozer. Le président républicain supprime les dernières barrières juridiques qui protégeaient les citoyens étrangers contre la collecte et l’exploitation massive de leurs informations personnelles par les entreprises américaines.

Une privacité numérique déjà en miettes

Le Cloud Act et le Patriot Act avaient déjà sérieusement entaillé la vie privée numérique. Le Privacy Shield, censé encadrer le transfert des données entre l’Europe et les États-Unis, a été invalidé deux fois (2015 et 2020) par la Cour de justice de l’UE pour non-respect du RGPD et des droits fondamentaux. Aujourd’hui, les entreprises européennes qui utilisent AWS, Microsoft ou Google verront leurs données encore plus exposées.

L’IA américaine et la surveillance globale

Les données collectées alimenteront directement les modèles d’intelligence artificielle made in U.S.A. Grok 3, le dernier-né d’Elon Musk, s’entraîne déjà sur tous les échanges de X (ex-Twitter) et sur les informations exfiltrées par ses DOGE kids. Si demain, plus aucune restriction ne protège les données étrangères, ce sont des milliards d’informations personnelles qui nourriront ces modèles et renforceront les capacités de surveillance de l’État américain.

Les implications sont immenses. Non seulement les entreprises privées américaines, mais également le gouvernement des États-Unis, auront accès à une quantité illimitée de données européennes. Une surveillance renforcée s’installe, avec un contrôle accru sur les flux d’informations, les transactions commerciales et même les interactions sociales.

Le Royaume-Uni : un précédent inquiétant

Apple a annoncé ne plus pouvoir proposer de chiffrage avancé sur son cloud au Royaume-Uni, une décision qui, selon la presse américaine, ferait suite à une demande des autorités britanniques d’accéder aux données de ses utilisateurs. L’entreprise californienne affirme qu’elle n’a jamais mis en place de « porte dérobée » ou de « clé principale », mais le gouvernement britannique aurait demandé un accès aux données stockées sur le cloud, au nom de la sécurité nationale.

Cette affaire illustre comment les gouvernements exercent une pression croissante sur les entreprises technologiques pour accéder aux informations privées des citoyens. Les utilisateurs britanniques d’Apple qui n’avaient pas activé la fonction « protection avancée des données » (ADP) ne pourront plus le faire. Ceux qui l’ont déjà activée devront la désactiver sous peine de voir leurs services réduits.

Conséquences directes : Une réduction drastique des protections pour les données personnelles. Une augmentation du risque de surveillance gouvernementale. Une remise en cause du chiffrement des sauvegardes iCloud, des photos, notes et mémos vocaux.

L’Europe doit-elle enfin se défendre ?

L’UE et la Suisse sont-elles prêtes à faire face ? Voient-elles seulement le vent tourner ? Quand nos échanges, nos décisions, nos savoirs deviennent une matière première pour d’autres, ce n’est plus seulement une fuite, c’est une perte de souveraineté.

L’Union européenne, face à l’invalidation du Privacy Shield, peine à trouver une solution. Le RGPD, bien que strict, se heurte aux réalités technologiques et à la puissance des géants américains du numérique. Le risque est immense : une dépendance totale au cloud américain, et donc une vulnérabilité accrue face à la collecte massive des données européennes.

Faut-il enterrer définitivement l’idée d’un Privacy Shield 3 ou est-ce le moment de sortir du piège d’un cloud américain en mode open bar ?

Ce qui se joue ici n’est pas qu’une question de vie privée, mais bien de survie numérique. L’Europe doit-elle se résoudre à devenir une colonie digitale des États-Unis, ou peut-elle encore défendre sa souveraineté ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Cybersécurité, IA

GRASP : Une plateforme mondiale pour anticiper les risques de l’intelligence artificielle

L’intelligence artificielle progresse rapidement et transforme nos sociétés. Cependant, elle soulève aussi des défis cruciaux en matière de sécurité et de gouvernance. Pour répondre à ces enjeux, GRASP (Global Risk and AI Safety Preparedness) a été lancée afin de fournir une cartographie des risques liés à l’IA et d’identifier les meilleures solutions pour les atténuer.

Lancée le 9 février 2025 à l’occasion de l’événement AI Safety Connect à Paris, la plateforme GRASP est le fruit d’une collaboration entre la Mohammed Bin Rashid School of Government (MBRSG) et le Future of Life Institute (FLI). Son objectif est de structurer les menaces potentielles associées à l’IA et de proposer des stratégies d’atténuation adaptées. Grâce à une base de données interactive, elle permet aux gouvernements, chercheurs et entreprises d’accéder aux solutions existantes pour garantir une intelligence artificielle plus sûre et maîtrisée.

Une initiative internationale pour mieux comprendre les dangers de l’IA

Face à l’essor rapide de l’intelligence artificielle, les experts alertent sur les risques potentiels liés à son utilisation. Développée sous l’égide de la MBRSG, avec la participation d’institutions renommées telles que le Center for AI Security (CeSIA), Apart Research et l’Institut de Pékin pour la sécurité et la gouvernance de l’IA, GRASP vise à centraliser et structurer les connaissances en matière de sécurité de l’IA.

La plateforme est intégrée au projet SAFE (Safety and Assurance of Generative AI) du Global Partnership on AI (GPAI), en collaboration avec l’OCDE. Elle s’appuie également sur les recherches du MIT AI Risk Repository, qui recense plus de 80 types de risques et 200 solutions.

Une classification des risques identifiés

GRASP propose une cartographie détaillée des dangers liés à l’intelligence artificielle, divisée en trois grandes catégories :

  • L’utilisation malveillante de l’IA : Cyberattaques automatisées, diffusion de fausses informations, développement d’armes autonomes, surveillance intrusive.
  • Les défaillances et dérives technologiques : Erreurs de programmation, comportements imprévus, dérives des IA auto-apprenantes, perte de contrôle sur les systèmes avancés.
  • Les impacts sociétaux : Discrimination algorithmique, inégalités économiques, manipulation de l’opinion publique, effets sur la santé mentale et cognitive.

Grâce à cette classification, GRASP permet d’anticiper les menaces et d’adopter des mesures adaptées pour renforcer la sécurité de l’IA.

Un outil pour les décideurs et les chercheurs

GRASP ne se limite pas à un simple inventaire des risques : la plateforme est conçue pour être un véritable outil d’aide à la décision. Parmi ses fonctionnalités, on retrouve :

  • Une base de données interactive répertoriant les menaces et leurs solutions.
  • Une approche modulaire associant chaque risque à des stratégies d’atténuation concrètes.
  • Des études de cas détaillées illustrant les enjeux réels de la sécurité de l’IA.
  • Un moteur de recherche avancé permettant de filtrer les informations par domaine d’application ou niveau de criticité.

L’objectif est de permettre aux gouvernements, entreprises et chercheurs d’accéder facilement aux solutions existantes et de contribuer à la mise en place d’une intelligence artificielle responsable et maîtrisée.

Vers une gouvernance mondiale proactive

Le projet GRASP est dirigé par Cyrus Hodes, Fellow of Practice à la MBRSG et co-responsable du projet SAFE au sein du GPAI. Son ambition est d’intégrer pleinement les recommandations de GRASP aux initiatives de gouvernance de l’IA portées par l’OCDE et d’autres instances internationales.

Avec la montée en puissance de l’IA générative et des modèles toujours plus performants, la question de la régulation et de la prévention des risques devient cruciale. GRASP constitue une réponse concrète aux défis posés par ces technologies et s’inscrit dans une démarche de transparence et de responsabilité.

Quel avenir pour la régulation de l’intelligence artificielle ?

Alors que GRASP apporte un cadre structuré pour identifier et atténuer les risques, la question demeure : comment garantir une adoption efficace et universelle de ces recommandations ? Les prochaines années seront déterminantes pour observer l’impact réel de cette initiative et la manière dont elle influencera la gouvernance de l’IA à l’échelle mondiale. Un autre projet, du nom d’ATLTA, propose ce type de « veille ». ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) est une base de connaissances mondiale répertoriant les tactiques et techniques utilisées par les adversaires contre les systèmes d’IA. Elle s’appuie sur des observations d’attaques réelles ainsi que sur des démonstrations pratiques réalisées par des équipes rouges et des groupes de sécurité spécialisés en IA.

Lors de la DEF CON 2024 de Las Vegas, le plus grand rendez-vous de hacker éthiques travaillait déjà sur comprendre et trouver des solutions cybersécurité et régulation autour de l’IA. Le Generative Red Team 2 (GRT2) avait été organisé dans l’AI Village lors de DEF CON 32. Il s’agissait d’un défi de red teaming axé sur l’intelligence artificielle générative, conçu sous la forme d’un « bug bash ». Les participants étaient invités à évaluer un modèle d’apprentissage automatique, à identifier ses vulnérabilités et ses défauts, puis à fournir des explications accompagnées de preuves pour garantir la reproductibilité et l’importance de leurs découvertes.

Cybersécurité, IA

La France lance l’INSESIA dédiée à la sécurité de l’IA

Le Gouvernement lance l’Institut national pour l’évaluation et la sécurité de l’intelligence artificielle (INESIA). Un engagement national pour une IA sécurisée et maîtrisée.

L’intelligence artificielle (IA) transforme profondément notre société et nos économies. Pour accompagner cette évolution tout en garantissant la sécurité nationale, le gouvernement annonce la création de l’Institut national pour l’évaluation et la sécurité de l’intelligence artificielle (INESIA). Cet institut, piloté par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et la Direction générale des Entreprises (DGE), vise à structurer l’écosystème français en matière d’évaluation et de régulation de l’IA.

Un cadre international et national pour la régulation de l’IA

L’initiative s’inscrit dans la continuité de la Déclaration de Séoul pour une IA sûre, novatrice et inclusive, adoptée en mai 2024 par plusieurs grandes puissances, dont la France, les États-Unis, le Royaume-Uni et l’Union européenne. Cette déclaration met en avant la nécessité de renforcer les mécanismes de sécurité et de régulation des modèles d’IA pour assurer leur fiabilité et leur transparence.

L’INESIA ambitionne de fédérer les acteurs français de premier plan dans le domaine de la cybersécurité et de la régulation numérique. Parmi eux, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), l’Institut national de recherche en sciences et technologies du numérique (Inria), le Laboratoire National de Métrologie et d’Essais (LNE) et le Pôle d’expertise de la régulation numérique (PEReN). Cette collaboration renforcera les capacités d’évaluation et d’anticipation des risques liés à l’IA.

Des missions stratégiques pour un développement maîtrisé de l’IA

L’INESIA se fixe plusieurs objectifs clés : Analyser les risques systémiques liés à l’IA, notamment dans le cadre de la sécurité nationale. Soutenir la mise en œuvre de la régulation de l’IA, en conformité avec les exigences européennes et internationales. Évaluer la performance et la fiabilité des modèles d’IA, pour garantir leur robustesse et leur intégrité. Diffuser les bonnes pratiques et sensibiliser les acteurs publics et privés, afin de promouvoir une IA responsable et sécurisée.

L’institut jouera un rôle clé dans l’élaboration des normes et des standards de sécurité, en collaborant avec d’autres entités internationales telles que l’AI Safety Institute du Royaume-Uni et l’AI Office de la Commission européenne.

Un positionnement stratégique sur la scène internationale

Avec la création de l’INESIA, la France entend affirmer son leadership dans le domaine de la régulation de l’IA. L’institut sera un acteur clé au sein du réseau international des AI Safety Institutes, en partenariat avec des pays comme le Canada, le Japon, Singapour et le Kenya. Cette collaboration renforcera la coopération scientifique et technologique pour anticiper les défis posés par l’IA.

L’INESIA contribuera également à la mise en place de protocoles d’évaluation communs, facilitant ainsi l’intégration de normes de sécurité harmonisées à l’échelle mondiale.

Un soutien à l’innovation dans un cadre de confiance

Au-delà de la régulation, l’INESIA encouragera également l’innovation en matière d’IA. En structurant un écosystème dynamique de chercheurs et d’ingénieurs, il favorisera le développement de solutions sûres et performantes, adaptées aux besoins de l’industrie, de la santé, de l’éducation et des services publics.

L’institut s’inscrit ainsi dans une approche équilibrée : accompagner la transformation numérique tout en veillant à la protection des citoyens et des infrastructures critiques. Cette initiative marque une étape clé vers une IA plus transparente, éthique et bénéfique pour l’ensemble de la société.

L’Europe dit stop aux dérives de l’IA

Depuis 2018, le Règlement général sur la protection des données (RGPD) offre aux consommateurs européens une meilleure protection de leur vie privée en ligne. Cependant, avec l’évolution rapide de l’intelligence artificielle (IA), de nouvelles préoccupations ont émergé concernant la collecte, le traitement et l’analyse des données personnelles. Face à ces défis, l’Union européenne a adopté en 2024 le Règlement sur l’intelligence artificielle, connu sous le nom d’AI Act. Cette législation vise à encadrer le développement de l’IA pour éviter les abus tout en favorisant l’innovation technologique. Elle s’appliquera progressivement dans tous les pays membres de l’UE d’ici 2026 et concerne toutes les entreprises, européennes ou non, qui vendent, utilisent ou déploient des systèmes d’IA au sein de l’UE.

Interdiction des pratiques à risque dès le 2 février

À partir du 2 février, certaines pratiques jugées inacceptables seront interdites en Europe. Par exemple, la « notation sociale », qui consiste à évaluer les consommateurs sur la base de leur comportement social et économique pour l’attribution d’avantages ou de restrictions, sera proscrite. De plus, les systèmes d’IA qui ciblent intentionnellement des personnes vulnérables, comme les enfants, pour en tirer profit, seront également interdits. Cela inclut les applications qui exploitent la naïveté des enfants pour les inciter à faire des achats en ligne ou les techniques manipulatrices qui influencent les choix des consommateurs à travers des vidéos truquées réalisées avec l’IA.

Vers une régulation complète de l’IA

D’ici le 2 août 2026, le règlement européen prévoit de réguler tout système d’IA présentant des risques, qu’ils soient minimes ou élevés. Tout contenu vidéo, audio, image ou texte généré ou manipulé par une IA devra être identifiable comme tel, par exemple via un filigrane indiquant un potentiel trucage. Les entreprises refusant de se conformer aux nouvelles règles encourront des sanctions pouvant aller jusqu’à 35 millions d’euros ou 7% de leur chiffre d’affaires.

Entreprise, IA, Justice

LinkedIn accusée de partager des données privées : une controverse autour de la confidentialité et de l’IA

LinkedIn, réseau professionnel de Microsoft, est accusé aux États-Unis d’avoir partagé des données privées d’abonnés Premium pour former des modèles d’intelligence artificielle, déclenchant une controverse sur la confidentialité des utilisateurs.

LinkedIn, plateforme professionnelle appartenant à Microsoft, est sous le feu des projecteurs après des accusations graves concernant la confidentialité des données de ses utilisateurs Premium. Ces derniers affirment que leurs messages privés auraient été partagés à des tiers, sans leur consentement explicite, pour entraîner des modèles d’intelligence artificielle (IA). Cette affaire, désormais portée devant le tribunal fédéral de San Jose en Californie, soulève de nombreuses questions sur l’éthique des pratiques de la plateforme. En août, LinkedIn aurait introduit discrètement un paramètre de confidentialité permettant de désactiver ce partage, suivi d’une mise à jour controversée de sa politique en septembre. Les plaignants réclament des réparations financières significatives, dénonçant une violation de la vie privée et un manquement aux promesses contractuelles. Cet épisode soulève des inquiétudes croissantes quant à l’impact de l’IA sur la protection des données personnelles.

Une mise en accusation fondée sur la violation de la vie privée

La plainte déposée contre LinkedIn repose sur une accusation précise : la plateforme aurait utilisé les données personnelles de ses abonnés Premium pour alimenter des modèles d’intelligence artificielle sans leur consentement éclairé. Les messages privés, souvent considérés comme inviolables par les utilisateurs, auraient été analysés et traités dans ce but. Cette situation est perçue comme une rupture de confiance entre les abonnés et LinkedIn, une entreprise qui s’est pourtant engagée publiquement à protéger la confidentialité de ses utilisateurs.

L’un des aspects les plus troublants de cette affaire réside dans l’introduction d’un paramètre de confidentialité en août dernier. Ce paramètre permettait aux abonnés de désactiver le partage de leurs données personnelles, mais il aurait été mis en place discrètement, sans notification explicite aux utilisateurs. En septembre, une mise à jour de la politique de confidentialité aurait confirmé que ces données pouvaient être utilisées à des fins d’apprentissage automatique. Cette opacité dans la communication a renforcé la colère des utilisateurs concernés.

Un autre élément central de cette affaire est l’accusation selon laquelle LinkedIn était « pleinement consciente » des violations de la vie privée qu’elle aurait commises. Cette affirmation découle des preuves apportées dans la plainte, notamment les modifications successives des paramètres de confidentialité et de la politique d’utilisation des données. Cela soulève une question cruciale : jusqu’où une plateforme professionnelle peut-elle aller dans l’exploitation des données personnelles sans franchir les limites éthiques et légales ?

Les enjeux juridiques et financiers pour LinkedIn

Sur le plan juridique, l’affaire a été portée devant le tribunal fédéral de San Jose, en Californie. La plainte exige des dommages-intérêts pour rupture de contrat et non-respect des lois californiennes sur la confidentialité des données. Une des demandes les plus marquantes concerne une compensation de 1 000 dollars par utilisateur pour violation d’une loi fédérale. Si cette indemnisation était accordée, elle pourrait représenter des millions de dollars pour LinkedIn, étant donné l’ampleur de sa base d’abonnés Premium.

Ce procès met également en lumière la manière dont les plateformes numériques interprètent les législations existantes en matière de protection des données. La Californie, avec son « California Consumer Privacy Act » (CCPA), impose des normes élevées en matière de confidentialité. Cependant, les plaignants affirment que LinkedIn n’a pas respecté ces obligations, en particulier concernant le consentement explicite et l’information des utilisateurs.

Pour LinkedIn, cette affaire pourrait avoir des conséquences importantes, non seulement en termes financiers, mais aussi sur sa réputation. La plateforme, qui revendique être un lieu sûr pour les professionnels, risque de perdre la confiance de ses utilisateurs si les accusations sont avérées. Cette perte de confiance pourrait entraîner une baisse des abonnements Premium, une source de revenus clé pour LinkedIn.

Par ailleurs, cette affaire soulève une question plus large : celle de l’utilisation des données personnelles dans le développement des technologies d’intelligence artificielle. À une époque où l’IA est de plus en plus intégrée dans les outils professionnels et personnels, les utilisateurs sont en droit de s’interroger sur la transparence des pratiques des entreprises technologiques. Microsoft, maison-mère de LinkedIn, pourrait également être impactée par cette controverse, notamment en raison de son rôle dans l’intégration de l’IA dans ses outils phares, tels que Word et Excel.

Confidentialité, IA et avenir des plateformes numériques

Cette affaire LinkedIn met en lumière un problème fondamental : l’équilibre délicat entre innovation technologique et protection des droits des utilisateurs. L’intégration de l’intelligence artificielle dans les plateformes numériques offre des opportunités inédites, mais elle pose également des défis éthiques majeurs. Les utilisateurs souhaitent profiter des avantages de l’IA sans compromettre leur vie privée.

Pour les abonnés Premium de LinkedIn, la possibilité que leurs messages privés aient été utilisés pour entraîner des modèles d’IA représente une atteinte grave à leur confiance. Ce cas met également en évidence la nécessité pour les plateformes de mettre en place des politiques claires et transparentes concernant l’utilisation des données. Les utilisateurs doivent être informés de manière proactive et avoir un contrôle total sur leurs informations personnelles.

Cette affaire pourrait également avoir un impact au-delà de LinkedIn. Les régulateurs et législateurs, déjà préoccupés par la protection des données dans un monde de plus en plus connecté, pourraient utiliser ce cas comme un exemple pour renforcer les lois existantes. À l’échelle mondiale, des initiatives telles que le Règlement général sur la protection des données (RGPD) en Europe ont déjà montré l’importance de cadres juridiques solides pour protéger les consommateurs.

Enfin, cette controverse souligne une réalité préoccupante : l’IA, bien qu’elle soit un outil puissant, dépend largement des données qu’elle consomme. Les entreprises technologiques doivent trouver des moyens d’entraîner leurs modèles sans porter atteinte à la vie privée des utilisateurs. Cela pourrait passer par des solutions telles que la fédération des données ou l’anonymisation, mais ces technologies nécessitent des investissements significatifs et un engagement ferme envers des pratiques éthiques.

Cybersécurité, Entreprise, IA

Phishing, applications cloud et IA générative : l’urgence d’une cybersécurité de nouvelle génération

En 2024, les clics sur des liens de phishing ont triplé, alors que l’usage des outils d’IA générative en entreprise s’intensifiait.

L’année 2024 a vu l’explosion des menaces cyber, notamment le phishing et les mauvaises pratiques liées aux applications cloud personnelles et à l’IA générative. Plusieurs rapports (Netskope, Microsoft, ZATAZ) révèlent que les clics sur des liens de phishing ont triplé, illustrant la sophistication croissante de ces attaques. En parallèle, l’adoption massive d’outils d’IA générative comme ChatGPT a accru les risques de fuites de données sensibles. Ces évolutions mettent en lumière l’urgence d’une approche nouvelle en matière de cybersécurité, mêlant outils de pointe, sensibilisation renforcée et stratégies proactives pour protéger les entreprises et leurs données. Des questions qui seront posées, à Paris, en Janvier, lors d’un rendez-vous politique autour de l’IA. (Elon Musk sera présent selon les infos de DataSecurityBreach.fr)

Phishing : une menace toujours plus sophistiquée

En 2024, les cybercriminels ont redoublé d’efforts pour perfectionner leurs attaques, entraînant une hausse de 190 % des incidents liés au phishing.

Des attaques toujours plus ciblées

Les campagnes de phishing modernes exploitent des outils sophistiqués, souvent alimentés par l’IA générative, pour créer des messages hyper-personnalisés. Les attaques se sont particulièrement concentrées sur les identifiants Microsoft, avec 42 % des attaques visant cette cible. L’utilisation d’applications cloud populaires comme Google Drive ou Microsoft OneDrive pour héberger des contenus malveillants a multiplié les points d’entrée pour les hackers.

Des techniques renforcées par l’IA

L’IA générative permet de produire des emails frauduleux d’une qualité impressionnante, rendant la détection humaine difficile. Les entreprises doivent donc s’équiper d’outils capables d’analyser les comportements pour repérer des anomalies et bloquer les tentatives de phishing en temps réel.

Prévention et formation : un duo indispensable

La sensibilisation des employés reste essentielle, mais elle doit être accompagnée de solutions technologiques robustes. Les simulations régulières de phishing et l’analyse comportementale des clics suspects sont des mesures indispensables.

L’utilisation croissante d’applications cloud personnelles par les employés, en particulier dans les environnements de travail hybrides, représente un défi majeur. En 2024, près de 88 % des organisations ont rapporté des incidents liés à des outils non autorisés.

Les applications cloud personnelles sont fréquemment utilisées pour stocker ou partager des données sensibles, ce qui expose les entreprises à des risques importants. Les données réglementées, telles que les informations financières et médicales, constituent 60 % des violations signalées, suivies par la propriété intellectuelle et les codes source.

Dans de nombreux cas, les violations sont dues à un manque de sensibilisation. Par exemple, les employés utilisent des outils gratuits, souvent peu sécurisés, pour partager des fichiers professionnels, ignorant les conséquences potentielles.

Les solutions possibles

Pour contrer ces pratiques, les entreprises doivent :

Mettre en place des politiques restrictives interdisant l’usage d’applications non approuvées.
Utiliser des outils de Cloud Access Security Broker (CASB) pour surveiller et bloquer les transferts non autorisés.
Renforcer la formation en expliquant les risques juridiques et financiers des mauvaises pratiques.
Exergue : « Les applications cloud personnelles sont un angle mort de la cybersécurité. »

La mise en place de systèmes de surveillance en temps réel et de contrôles d’accès est essentielle pour limiter les risques liés à ces usages. De plus, les entreprises doivent privilégier des solutions qui permettent une traçabilité des données et une intervention rapide en cas d’incident.

IA générative : moteur d’innovation et de risques

Les outils d’IA générative, tels que ChatGPT, sont devenus des acteurs incontournables dans le paysage professionnel. Leur adoption rapide, bien que bénéfique, présente des risques non négligeables.

L’essor des outils d’IA générative

En 2024, 94 % des entreprises utilisent des applications d’IA générative, avec une moyenne de 9,6 outils par organisation. Ces applications facilitent des tâches variées, de la rédaction de rapports au brainstorming créatif. Toutefois, leur utilisation sans contrôle strict expose les organisations à des menaces inédites.

Les risques majeurs

Les cybercriminels exploitent ces technologies pour concevoir des attaques de phishing sur mesure. Par ailleurs, les employés peuvent, par inadvertance, introduire des informations confidentielles dans ces outils, qui ne garantissent pas toujours la confidentialité des données.

Des réponses technologiques et humaines

Pour limiter ces risques, 45 % des entreprises ont déployé des solutions de prévention des pertes de données (DLP). Ces outils surveillent en permanence les interactions entre les employés et les plateformes d’IA générative. En parallèle, les organisations investissent dans des programmes de coaching en temps réel, qui alertent les utilisateurs lorsqu’ils effectuent des actions à risque.

L’avenir passe également par l’élaboration de politiques claires et par l’intégration de mesures de contrôle automatisées. Ces initiatives permettront de concilier innovation et sécurité, tout en réduisant les vulnérabilités.

Bref, face à des menaces cyber de plus en plus sophistiquées, les entreprises doivent adopter une approche proactive. DataSecuritybreach.fr rappel que cela doit inclure : L’intégration d’outils de détection avancée ; La formation continue des employés. L’élaboration de politiques claires pour l’usage des applications cloud et de l’IA.

Cybersécurité, IA

GPT-4 et l’analyse financière : une révolution en marche ?

Une étude récente a révélé que le GPT-4 d’OpenAI pourrait analyser les états financiers et, dans certains cas, prédire les performances futures d’une entreprise mieux qu’un analyste humain.

Menée par trois chercheurs de la Booth School of Business de l’Université de Chicago — Alex Kim, Maximilian Muhn et Valeri Nikolaev — cette étude soulève des questions sur l’avenir de l’analyse financière et le rôle potentiel de l’IA dans ce domaine. Les chercheurs ont déterminé si GPT-4 pouvait analyser les états financiers uniquement en se basant sur les chiffres, sans aucun contexte textuel. Pour ce faire, ils ont exclu des éléments comme la section « Management Discussion and Analysis » (MD&A) des rapports trimestriels. Leur objectif principal était d’évaluer la capacité des grands modèles linguistiques (LLM) à comprendre et synthétiser des données purement financières.

L’étude a examiné plus de 150 000 observations liées à 15 000 sociétés entre 1968 et 2021. En comparant les performances des analystes financiers et de GPT-4, ils ont découvert que les analystes humains avaient une précision de 53 % dans leurs prévisions sur un mois concernant l’orientation des bénéfices futurs. Lorsque GPT-4 a analysé des états financiers anonymisés sans aucune information textuelle et avec une simple invite, il a obtenu un score légèrement inférieur à celui des analystes, avec une précision de 52 %. Cependant, lorsque les chercheurs ont utilisé une invite de commande de chaîne de pensée, fournissant plus d’instructions et de conseils, le modèle a atteint une précision de 60 %.

Ces résultats montrent que, lorsqu’il est correctement guidé, GPT-4 peut surpasser les analystes humains, même sans les informations textuelles souvent cruciales dans les rapports financiers. Cela démontre la capacité de l’IA à traiter des données complexes et à fournir des analyses précises, surtout lorsqu’elle est assistée par des instructions détaillées.

L’IA, l’analyse financière et la Fraude au Président

L’étude souligne que l’analyse et la prévision financières nécessitent jugement, bon sens et intuition, des qualités qui peuvent dérouter à la fois les humains et les machines. Ni les analystes humains ni GPT-4 n’ont réussi à atteindre une précision proche de 100 % dans leurs analyses, en partie à cause de la complexité inhérente à ces tâches.

Mustafa Suleiman, cofondateur de DeepMind, a souligné que les assistants IA pourraient devenir une ressource précieuse et accessible pour tous dans un avenir proche. Cependant, la recherche de Kim, Muhn et Nikolaev indique que les analystes humains ne seront probablement pas remplacés par l’IA dans l’immédiat. Pour l’instant, l’IA sert de complément aux capacités humaines, offrant des outils qui peuvent améliorer la précision des analyses financières. Les chercheurs ont également noté que le GPT-4 pouvait mieux analyser les grandes entreprises, comme Apple, en raison de leur moindre idiosyncrasie par rapport aux petites entreprises, dont les performances peuvent varier en fonction de facteurs imprévisibles comme les essais cliniques pour les sociétés de biotechnologie.

Bien que les LLM, y compris GPT-4, puissent être biaisés, les chercheurs ont constaté que le modèle se comportait généralement bien en moyenne. Les biais peuvent être subtils et variés, mais la performance globale du modèle suggère une capacité de prévision raisonnablement fiable.

Vous comprenez pourquoi aujourd’hui, il est impassable d’utiliser ce genre de d’outil pour rédiger/corriger un rapport lié à votre entreprise. Des monstres numériques, comme ChatGPT sont capables de fournir la moindre information à qui saura les demander.